-
-
[原创]取证分析之逆向服务器提权开启3389远程连接工具
-
发表于: 2018-10-12 09:22
-
通常用作黑客攻击网站拿到服务器Webshell提升站点服务器权限后,对站点和数据库服务器两台服务器分离的情况,延申权限到数据库服务器。开启数据库服务器的3389远程连接。
MD5值:58946C2FE49563591EBE0D61F457DE0A
大小:178 KB (182,526 字节)
病毒家族名:Virus.Win32.Parite.a
分析黑客小工具是怎么实现的,分析行为提取特征。
作用是开启3389端口
添加用户
1)查壳
2)导入表信息
逆向这类几百KB的程序是很轻松的,通常病毒文件并不大。单步调试也没有几次就跟踪到Main()函数了。
RegSetValueEx:有名称值的数据和类型时设置指定值的数据和类型。
RegSetCloseKey:关闭注册表句柄
不知道是加了什么壳,XOR循环解密后续的汇编代码。
跳过加载程序的的流程。新建账户、注册表修改流程都在一个函数中。看出来作者已经将函数封装好,只需要传值进去实现相对应的功能。
建立用户和建立用户组都是封装了同一个函数call 00401280,使用CreateProcess函数执行了增加用户、添加用户到管理组的命令。
修改注册表,使用RegSetValueEx修改了HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections的值为0
VC6+Win7(x86)
附件程序运行会开启3389远程连接,还有新建管理组用户admin
3389.exe是原版程序
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2018-10-17 17:22
被lipss编辑
,原因: 修正标题
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
火绒剑 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
